A Safari 26.2 biztonsági változásjegyzéke
Ez a dokumentum a Safari 26.2 biztonsági változásjegyzékét ismerteti.
Tudnivalók az Apple biztonsági frissítéseiről
Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.
Ha lehetséges, az Apple biztonsági részlege a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.
A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.
Safari 26.2
Kiadás dátuma: 2025. december 12.
Safari
A következőkhöz érhető el: macOS Sonoma és macOS Sequoia.
Érintett terület: Egy Macen, ha a Zárt mód engedélyezve volt, egy fájlra mutató URL-en keresztül megnyitott webes tartalom képes lehetett olyan Web API-k használatára, amelyeknek korlátozottnak kellett volna lenniük
Leírás: Az URL-ek hatékonyabb ellenőrzésével hárítottuk el a problémát.
CVE-2025-43526: Andreas Jaegersberger és Ro Achterberg (Nosebeard Labs)
Safari Downloads
A következőkhöz érhető el: macOS Sonoma és macOS Sequoia.
Érintett terület: Előfordult, hogy egy letöltés eredetének hozzárendelése helytelenül ment végbe.
Leírás: Ez egy nyílt forrású kódban található sebezhetőség, és az Apple-szoftver is az érintett projektek között van. A CVE-azonosítót egy külső fél rendelte hozzá. A problémával és a CVE-azonosítóval kapcsolatos további információkért látogasson el a cve.org webhelyre.
CVE-2024-8906: @retsew0x01
WebKit
A következőkhöz érhető el: macOS Sonoma és macOS Sequoia.
Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni.
Leírás: További engedély-ellenőrzési lépésekkel küszöböltük ki a problémát.
WebKit Bugzilla: 295941
CVE-2025-46282: Wojciech Regula (SecuRing, wojciechregula.blog)
WebKit
A következőkhöz érhető el: macOS Sonoma és macOS Sequoia.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a Safari váratlanul összeomlott.
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy típustévesztési hibát.
WebKit Bugzilla: 301257
CVE-2025-43541: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)
WebKit
A következőkhöz érhető el: macOS Sonoma és macOS Sequoia.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a folyamat váratlanul összeomlott
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy kétszeres felszabadítást előidéző hibát.
WebKit Bugzilla: 301726
CVE-2025-43536: Nan Wang (@eternalsakura13)
WebKit
A következőkhöz érhető el: macOS Sonoma és macOS Sequoia.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a folyamat váratlanul összeomlott
Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.
WebKit Bugzilla: 300774
CVE-2025-43535: Google Big Sleep, Nan Wang (@eternalsakura13)
Bejegyzés frissítve: 2025. december 17.
WebKit
A következőkhöz érhető el: macOS Sonoma és macOS Sequoia.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a folyamat váratlanul összeomlott
Leírás: Hatékonyabb memóriakezeléssel hárítottunk el egy puffertúlcsordulást okozó problémát.
WebKit Bugzilla: 301371
CVE-2025-43501: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)
WebKit
A következőkhöz érhető el: macOS Sonoma és macOS Sequoia.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a folyamat váratlanul összeomlott
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy versenyhelyzeti problémát.
WebKit Bugzilla: 301940
CVE-2025-43531: Phil Pizlo (Epic Games)
WebKit
A következőkhöz érhető el: macOS Sonoma és macOS Sequoia.
Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség. Az Apple-nek tudomása van egy jelentésről, amely szerint ezt a problémát kihasználhatták egy különlegesen kifinomult, konkrétan megcélzott személyek ellen irányuló támadás keretében az iOS 26 előtti iOS-verziókban. A CVE-2025-14174 is kiadásra került erre a jelentésre reagálva.
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy kétszeres felszabadítást előidéző hibát.
WebKit Bugzilla: 302502
CVE-2025-43529: Google Threat Analysis Group
WebKit
A következőkhöz érhető el: macOS Sonoma és macOS Sequoia.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozása memóriasérülést idézett elő. Az Apple-nek tudomása van egy jelentésről, amely szerint ezt a problémát kihasználhatták egy különlegesen kifinomult, konkrétan megcélzott személyek ellen irányuló támadás keretében az iOS 26 előtti iOS-verziókban. A CVE-2025-43529 is kiadásra került erre a jelentésre reagálva.
Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy memóriasérülési hibát.
WebKit Bugzilla: 303614
CVE-2025-14174: Apple és Google Threat Analysis Group
WebKit Web Inspector
A következőkhöz érhető el: macOS Sonoma és macOS Sequoia.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a folyamat váratlanul összeomlott
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy kétszeres felszabadítást előidéző hibát.
WebKit Bugzilla: 300926
CVE-2025-43511: 이동하 (Lee Dong Ha, BoB 14th)
További köszönetnyilvánítás
Safari
Köszönjük Mochammad Nosa Shandy Prastyo segítségét.
WebKit
Köszönjük Geva Nurgandi Syahputra (gevakun) segítségét.
A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Forduljon az adott félhez további információkért.